1. 威客安全首页
  2. 安全资讯

好多熊:Cozy Bear和其幽灵行动

好多熊:Cozy Bear和其幽灵行动

一直以来被认为是为俄罗斯政府工作的网络间谍组织Cozy Bear多年来靠使用不为安全研究人员所知的恶意软件、借助于感染系统和C2服务器的隐身通信技术隐藏多年。

该组织就是那个江湖中传说的APT29、Dukes、CozyCar、CozyDuke、Yttrium、Group100以及Office Monkeys等,其目的是采取网络间谍行动,主要目标是西方国家政府和前苏联国家,还有与北约、智库、政党等,曾在2016年泄露过美国民主党国家委员会,2017年攻击过挪威政府,2018年FireEye怀疑其对多行业用户展开钓鱼攻击,但其实早在2013年时其便已经开始“幽灵行动”,而该行动直至今日才为人所知。

最新APT29被感染者

ESET研究人员在幽灵行动中至少追踪到了3个受感染者,全部属于欧美外交部门。受害者数量很可能还会更大,但确定起来却很难,因为威胁人员对每个目标都用了单独的C2基础设施。

新入侵工具

研究人员发现并分析了该组织3种新的恶意工具后,发现:

PolyglotDuke是用于第一阶段投置MiniDuke后门的下载器;RegDuke是第一阶段的后门,作为备份、在攻击者控制不住受感染机器上其他植入程序时用的;FatDuke是在攻击的第三阶段使用,置于最相关的机器之中,由MiniDuke(2010年到2015年时与Cozy Bear活动相关的工具集)或通过Windows中的PsExec投置。

将幽灵行动联系到该威胁者是由于发现了其在之前的行动中所存档的恶意软件样本,虽然其不排除有错误标志操作的可能。

据ESET研究人员称,幽灵行动的一项特征是使用像Reddit、Twitter、Imgur、Evernote或ImgBB这样的社交网站来托管URL链接到C2服务器。

他们发现了2014年时该活动的痕迹,当时Cozy Bear组织成员在Reddit上用编码字符串发布了信息,证明其是PolyglotDuke所使用的一个C2服务器。

好多熊:Cozy Bear和其幽灵行动

F-Secure之前曾用OnionDuke恶意软件(Dukes军火库的另一个工具)记录了该策略。ESET曾在2017年发表的推文中也归因给了Cozy Bear成员。

好多熊:Cozy Bear和其幽灵行动

此外,ESET分析PolyglotDuke和OnionDuke样本时还发现了类似的加密功能。

好多熊:Cozy Bear和其幽灵行动

PolyglotDuke感染后,该组织又转向了RegDuke,其在系统上一直潜伏,目的就是在其他工具丧失访问权后让威胁行为者在感染主机上保持立足点。其载荷是依赖Dropbox进行C2通信的无文件后门,URL链接使用隐写术隐藏在看似正常的图像中。

好多熊:Cozy Bear和其幽灵行动

据研究人员解释,每个像素都编码成了与RGB颜色模型相对应的24位,且“最低有效位”技术用于在每个像素中存储8位数据。

FatDuke,之所以这么叫是因为其有13MB的大小,再配上专门为阻碍分析和混淆真实功能的代码,“其是目前该组织的旗舰后门,仅部署在最重要的机器上,”研究人员称。正常情况下,FatDuke不过才1MB尺寸而已。

ESET分析师表示该后门典型是由MiniDuke、要么是由一个像PsExec这样的移动工具所投放。在ESET的报告中,其提供了一个Cozy Bear工具的深度技术分析,基于汇编日期,其认为幽灵行动始于2013年。

此外,ESET还在一些相同的计算机上观察到了另外两个俄罗斯组织“Turla”和“Fancy Bear(APT28)”的证据。

原文链接:http://www.mottoin.com/detail/4234.html

本站声明:网站内容来源于mottoin,如有侵权,请联系我们,我们将及时处理。

本文转为转载文章,本文观点不代表威客安全立场。

联系我们

4006-119-120

在线咨询:点击这里给我发消息

邮件:public@jinlongsec.com

工作时间:周一至周五,9:30-18:30,节假日休息

X